Escrito por Rodrigo Sampaio e Marcelo Piva

O Nubank sempre coloca os clientes em primeiro lugar para dar a eles o controle sobre suas finanças e poder sobre sua rotina diária. Aderir à iniciativa de Open Banking tem um papel fundamental nessa missão. 

No entanto, com o poder vêm grandes responsabilidades, e isso requer que mantenhamos continuamente a segurança de dados dos nossos clientes. 

Continue lendo para descobrir como o Nubank fez uma parceria com a Authlete para arquitetar um servidor de autorizações de última geração e sob medida para o Open Banking.

A segurança sempre vem em primeiro lugar

Open Finance, um conceito revolucionário, busca redefinir como instituições financeiras compartilham dados com as outras para entregar serviços diários, priorizando a propriedade de dados para clientes.

Para garantir uma comunicação fluida entre os envolvidos, era crucial implementar uma linguagem padrão e um conjunto de regras. “A segurança era a prioridade máxima para permitir esta comunicação, então estabelecemos um conjunto de padrões de segurança complexos (OAuth 2.0 + OpenID Connect + FAPI + “Padrão Brasileiro”) para garantir a tranquilidade dos nossos clientes”, disse Marcelo Piva, nosso Engenheiro de Software.

O Open Finance também nos trouxe a oportunidade de assegurar um valor central dos nossos negócios: a transparência

Isso porque os clientes devem conceder uma autorização explícita para compartilhar seus dados através do Open Finance. Então precisamos garantir que:

  • os clientes possam controlar os próprios dados financeiros.
  • A decisão de compartilhar (ou não) esses dados com outras instituições depende totalmente deles.

Além disso, proteger essas informações é vital para garantir que apenas o cliente legítimo utilize seus dados através de diferentes instituições financeiras sem uma exposição indevida a entidades externas.

Conheça nossas oportunidades

Desenvolvendo uma solução

Vamos nos aprofundar no aspecto técnico da autorização e autenticação API. O Open Banking tem como base uma hierarquia de padrões confiáveis para mitigar qualquer ameaça aos dados do cliente. Ela consiste em:

  • OAuth 2.0: O principal padrão que rege a maior parte das autorizações on-line.
  • OpenID Connect (OIDC):  Uma camada de identidade que vem acima do OAuth 2.0.
  • FAPI: Perfis de segurança baseados no OAuth 2.0 que a princípio foram projetados para APIs de grau financeiro.
  • Padrão Brasileiro: Uma especificação mais refinada e filtrada dos padrões acima para corresponder ao nosso ecossistema.

Durante nossa fase exploratória, rapidamente percebemos o dimensão do desafio, tendo que cumprir com centenas de regras de segurança combinadas de várias fontes, incluindo as específicas do Open Finance Brasil.

Escolhendo um provedor

Para superar esse desafio, decidimos procurar uma parceria especializada para fornecer a melhor solução que garantisse a segurança dos nossos clientes. Nossos parâmetros eram: 

  • a melhor arquitetura
  • redução no tempo de desenvolvimento
  • credibilidade em nível industrial

Embora várias concorrentes disputassem a nossa atenção, muitas eram complicadas, ultrapassados, e não se encaixavam bem com o que tínhamos de tecnologia.

Nossa escolha: Authlete

Após um período de avaliação de diferentes soluções, a Authlete surgiu como nossa parceria de escolha. Seus produtos removeram a complexidade de implementar os padrões de segurança necessários. Os APIs flexíveis e extensíveis da Authlete que atendiam aos últimos padrões de segurança permitiram que criássemos servidores de recursos e autorização personalizados. Essa capacidade de adaptação foi inestimável para o Nubank.

Além de atender aos requisitos, a Authlete encurtou significativamente nosso ciclo de desenvolvimento, permitindo que o Nubank obtivesse um servidor de autorização completamente adequado em tempo recorde, ao mesmo tempo preservando nossa infraestrutura existente.

Além disso, a proficiência da Authlete na evolução da segurança por API em ecossistemas de Open Banking no mundo todo, apoiada pelo envolvimento ativo deles em moldar os padrões da OpenID Foundation, garantiu nossa conformidade com os padrões brasileiros.

Veja mais detalhes em Estudo de Caso: Nubank – Authlete

Definindo o padrão mais alto em segurança de Open Finance

Enquanto navegamos por esse cenário em evolução do Open Finance, a dedicação do Nubank ao empoderamento do cliente e à segurança de dados permanece inabalável. Nossa colaboração com a Authlet é uma prova do nosso compromisso de oferecer soluções de segurança de primeira linha.

Unindo inovação, transparência e foco no cliente, não estamos apenas respondendo às exigências do Open Banking; queremos nos tornar uma referência. Seja você um cliente buscando liberdade financeira ou fã de tecnologia que se interessa por nossos processos nos bastidores, pode ter certeza de que o Nubank está encabeçando o novo conceito de digital banking, sempre levando em consideração a sua segurança.

Acompanhe o nosso blog para ler mais insights sobre a revolução financeira que estamos moldando! 

 

Conheça nossas oportunidades